Was ist ‘Ihre persönlichen Dateien werden verschlüsselt von CTB-Locker’?

Der CTB-Locker Ransomware Virus infiltriert Betriebssysteme über infizierte e-Mails und gefälschte Downloads (z. B. Räuber-Videoplayer oder gefälschten Flash-Aktualisierung). Nach dem erfolgreichen Eindringen, dieses Schadprogramm verschlüsselt Dateien (* .doc, &, *.xls, * .ppt, *.PDF, *.PSD, *.EPS, * .ai, * .cdr, *.jpg, etc.) auf Computern und verlangt Zahlung eines Lösegelds $300 (in Bitcoins) gespeichert, um sie zu entschlüsseln (verschlüsselte Dokumente erhalten eine Erweiterung der .ctbl-Dateien).

Cyber-Kriminelle für die Freigabe dieses Schurken-Programms verantwortlich sicherzustellen, dass sie auf allen Windows Betriebssystem-Versionen (Windows XP, Windows Vista, Windows 7 und Windows 8) ausführt. Critroni Ransomware erstellt AllFilesAreLocked.bmp DecryptAllFiles.txt und [sieben zufällige Buchstaben] .html Dateien in jedem Ordner mit den verschlüsselten Dateien.

Diese Dateien enthalten Anweisungen detailliert, wie Benutzer ihre Dateien entschlüsseln können, und der Tor-Browser (ein anonymer Web-Browser) verwenden. Cyber-Kriminelle nutzen Tor, um ihre Identität zu verbergen. PC-Benutzer sollten uns davor hüten, dass die Infektion selbst ist, zwar nicht kompliziert zu entfernen Entschlüsselung von Dateien (mit RSA 2048-Verschlüsselung verschlüsselt) durch beeinflusst diese Malware ist unmöglich ohne das Lösegeld zu bezahlen. Zeitpunkt der Forschung gab es keine Werkzeuge oder Lösungen fähig durch Critroni verschlüsselte Dateien entschlüsseln. Beachten Sie, dass der private Schlüssel benötigt, um die Dateien zu entschlüsseln wird von den CTB-Locker-Kommando-und Kontroll-Servern gespeichert, die von Cyberkriminellen verwaltet werden. Daher ist die beste Lösung zum Entfernen dieses Virus Ransomware und dann Ihre Daten aus einer Sicherung wiederherstellen.

Ransomware Infektionen wie CTB-Locker (einschließlich CryptoWall, CryptoDefense, CryptorBit und Cryptolocker) präsentieren ein starkes Argument um regelmäßige Sicherungen Ihrer gespeicherten Daten zu erhalten. Beachten Sie, dass das Lösegeld zu bezahlen, da von diesem Ransomware gefordert Äquivalent ist zu senden Ihr Geld an Cyber-kriminelle – Sie ihre bösartigen Geschäftsmodell unterstützen und es gibt keine Garantie, dass Ihre Dateien immer entschlüsselt werden. Um Computer Infektion mit Ransomware Infektionen wie dies zu vermeiden, schnelles Vorsicht beim Öffnen von e-Mail-Nachrichten, da Cyberkriminelle verschiedenen eingängigen Titel verwenden, um PC-Nutzer Öffnen infizierte e-Mail-Anhänge (z. B. “UPS Ausnahme Notification” oder “FedEx Delivery Failure Notification”) zu verleiten. Untersuchungen zeigen, dass Cyber-kriminelle auch P2P-Netzwerken verwenden und Fälschung mit gebündelten Ransomware-Infektionen lädt um Critroni zu vermehren. Zur Zeit der “Ihre persönlichen Dateien werden verschlüsselt” Ransomware Bedrohung ist in englischer und russischer Sprache geliefert und sind daher, Länder, die diese Sprachen sprechen, am oberen Rand der Zielliste von Cyberkriminellen vermehren diese Malware.

Cyber-Kriminelle haben eine aktualisierte Version der CTB-Locker Ransomware zielenden USA, Italien, Niederlande und Deutschland veröffentlicht. Diese Variante wird meist mithilfe von gefälschten Fax Benachrichtigungs-Mails mit infizierte Anlagen verteilt. Cyber-Kriminelle haben auch einen Zeitrahmen verlängert in dem ihre Opfer das Lösegeld wieder Kontrolle über ihre Dateien bis zu 96 Stunden (vorher 72 Stunden) zahlen müssen

Die Autoren der CTB-Locker benutzen ein Affiliate-Programm für Laufwerk-Infektionen durch die Auslagerung des Infektion-Prozess zu einem Netzwerk von Tochtergesellschaften oder Partnern im Tausch gegen eine Kürzung des Gewinns. Das Affiliate-Modell ist eine erprobt, getestet und sehr erfolgreiche Strategie zur Erreichung großer Mengen von Malware-Infektionen. Es wurde verwendet für gefälschte Antivirus riesige Umsätze generieren, klicken Sie auf Betrugsdelikten und eine Vielzahl anderer Typen von Malware. Es ist jetzt verwendet wird, um im allgemeinen Ransomware verteilen und CTB-Locker im besonderen.

Das Affiliate-System für CTB-Locker wurde vom Forscher Kafeine, Mitte 2014 erstmals öffentlich hervorgehoben. Ein 2015 Reddit post behauptet, von einer tatsächlichen Teilnehmer des Partnerprogramms und bietet interessante Einblicke in seine Arbeitsweise. Die CTB-Locker-Autoren verwenden eine ähnliche Strategie zu viele Exploit Kit Autoren durch das Angebot einer hosted-Option, wo der Betreiber zahlt eine monatliche Gebühr und die Autoren hosten den Code. Auf diese Weise zu einem Partner einfach und relativ risikolos. Reddit-Poster behauptete zu 15.000 (vermutlich Dollar) pro Monat, mit Kosten von rund 7.000. Der Autor erwähnt auch, dass er nur auf die Opfer aus “Stufe 1″ Ländern wie den USA, UK, Australien und Kanada, konzentriert sich, wie er so wenig Geld aus anderen Regionen macht, dass es nicht die Zeit Wert.

Mit einem Partner-Modell für die Verteilung heißt, es eine Vielzahl von unterschiedlichen Infektion Vektoren für CTB-Locker gibt. Wir haben gesehen, sie durch mehrere Exploit-Kits, einschließlich Rig und Reaktorsicherheit verteilt werden. Allerdings ist es durch böswilligen Spamkampagnen, dass die Mehrzahl der CTB-Locker-Infektionen beobachtet wurden.

Die am häufigsten gesehenen Spam-Kampagnen, die CTB-Locker verteilen verwenden eine Downloadkomponente Dalexis oder Elenoockagenannt. Die Spamnachrichten selbst folgen eine Vielzahl von Formaten, einschließlich verpasste Faxnachrichten, Jahresabschluss, überfällige Rechnungen, Konto Suspensionen und verpasste Mms-Nachrichten. Hier sind einige Beispiele:

CTB example

CTB Locker examples

CTB example2

Ein Großteil der heutigen böswilligen Spam kommt als Exe-Datei in ein Zip- oder Rar-Archiv. Ein ungewöhnlicher Aspekt des Dalexis ist, dass es fast immer seltener Archiv, in der Regel eine Cab-Datei kommt. Das Archiv enthält die bösartige Probe selbst, oft mit einer Erweiterung .scr und ein weiteres Archiv, das eine Köder-Dokument, die angezeigt wird enthält, um dem Opfer zu überzeugen, dass die Anlage harmlos war.

CTB sampleDas bösartige Dalexis-Beispiel verwendet verschiedene Techniken in einem Versuch, Sandboxen zu vermeiden und automatisierte Analysesysteme, einschließlich Schlaf für eine bestimmte Zeit. Dalexis-downloads die CTB-Locker-Probe über HTTP in verschlüsselter Form, decodiert und ausgeführt.

Ausführung

Wenn CTB-Locker ausgeführt wird, es wird eine Kopie von sich selbst in das temporäre Verzeichnis und erstellt einen geplanten Task um Neustart Dauerhaftigkeit zu aktivieren.

CTB-Locker executesDas Dateisystem wird dann durchlaufen und alle Dateien mit Erweiterungen, die entsprechen der CTB-Locker Erweiterungsliste verschlüsselt werden. Das desktop-Hintergrundbild wird geändert und CTB-Locker-Overlays die Lösegeld-Nachricht und eine anklickbare Oberfläche auf der Mitte des Bildschirms.

Im Gegensatz zu einigen Varianten Krypto-Ransomware erfordert CTB-Locker keine aktive Internetverbindung, bevor es beginnt die Verschlüsselung von Dateien.

Verschlüsselung

CTB-Locker steht für “Kurve-Tor-Bitcoin-Locker.” Der “Kurve” Teil des Namens stammt von der Verwendung von Elliptic Curve Cryptography (ECC). ECC ist eine Form der public Key Kryptographie auf Basis elliptischer Kurven über endlichen Körpern. Seine Stärke ist die elliptische Kurve diskreten Logarithmus Problem abgeleitet. Die meisten Datei-Verschlüsselung Ransomware, die Kryptografie mit öffentlichen Schlüsseln verwendet tendenziell RSA, zu verwenden, die auf Primfaktorzerlegung basiert. Ein Vorteil, den dass ECC über RSA hat ist, dass gleichwertige Sicherheit, die Ebenen mit viel kleineren Schlüsselgrößen erreicht werden können. Beispielsweise hat ein 256-Bit ECC Schlüssel gleichwertige Sicherheit zu einem 3072-Bit RSA Schlüssel.

Die Schlüsselgröße-Vorteile, die ECC ein beitragender Faktor im Entscheidungsprozess des Autors gewesen sein mag bietet, wie sie einen öffentlichen Schlüssel in der Malware-Probe einzubetten und ein kleiner Schlüssel weniger Platz nimmt.

CTB-Locker verwendet eine Kombination von symmetrischen und asymmetrischen Verschlüsselung auf jagt-Dateien. Die Verschlüsselung selbst erfolgt mit AES und dann die Mittel, um die Dateien zu entschlüsseln mit dem ECC öffentlichen Schlüssel verschlüsselt. Dadurch wird sichergestellt, dass nur die CTB-Locker-Autoren, die den entsprechenden privaten Schlüssel haben die Dateien entschlüsseln können. Für eine detaillierte Analyse der Verschlüsselung von CTB-Locker verwendete Schema sehen, diese Analyse von “Zairon.”

CTB-Locker verschlüsselt Dateien mit folgenden Erweiterungen:

PWM, Kwm, Txt, Cer, crt, der, Pem, Doc, Cpp, c, Php, Js, Cs, Pas, Bas, pl, Py, Docx, Rtf, Docm, Xls, Xlsx, Tresor,

Gruppen, Xlk, Xlsb, Xlsm, Mdb, Mdf, Dbf, Sql, Md, Dd, Dds, Jpe, Jpg, Jpeg, cr2, raw, rw2, Rwl, Dwg, Dxf, Dxg, Psd, 3fr, Accdb,

Ki, Arw, Bucht, Mischung, cdr, Crw, Dcr, Dng, Eps, Erf, Indd, Kdc, Mef, Mrw, Nef, Nrw, Odb, Odm, Odp, ods, Odt, Orf, p12, p7b p7c,

PDD, Pdf, Pef, Pfx, ppt, Pptm, Pptx, pst, Ptx, r3d, raf, Srf, Srw, WA2, Vsd, Wpd, Wps, 7z, Zip, Rar, Dbx, Gdb, Bsdr, Bsdu,

Bdcr, Bdcu, Bpdr, Bpdu, Ims, Bds, Bdd, Bdp, Gsf, Gsd, Iss, Arp, Rik, Gdb, Fdb, Abu, Config, rgx

Diese Liste wurde erweitert, wie neuere Varianten freigegeben wurden.

Ursprünglich hatten alle verschlüsselte Dateien eine Erweiterung “.ctbl”, wechselte jedoch bald zu eine zufällige Erweiterung haben. Es scheint, dass die Autoren zumindest ausgeliehen haben einige ihrer Verschlüsselung code von OpenSSL, wie große Mengen an Verwandte Saiten im entpackten Code finden können.
ctbl extension

Netzwerk-Kommunikation

Da die CTB-Locker beginnen kann, das Verschlüsseln von Dateien ohne einen Führungs- und Server zu kontaktieren, muss es keine Netzwerkkommunikation sein, bis das Opfer versucht, ihre Dateien zu entschlüsseln.

In diesem Fall die gesamte Kommunikation über Tor (hier kommt das “Tor” von Kurve-Tor-Bitcoin-Locker in) durchgeführt werden, in der Regel durch Proxy-Webseiten, die wirken als Relais zum Tor Hidden Service, dass Gastgeber der Back-End-Infrastruktur.

Wenn ein Opfer das Lösegeld bezahlt hat, kontaktiert CTB-Locker den Führungs- und Server senden einen Block von Daten, die zum Ableiten des Schlüssels, die des Opfers Dateien zu entschlüsseln, wird erforderlichen Informationen enthält. Dieser Block von Daten kann nur mit dem Master-Schlüssel auf dem Server gespeicherten entschlüsselt werden.

Lösegeld-Forderung

Wenn das Opfer Dateien verschlüsselt wurden, erscheint die Meldung Lösegeld durch Ändern des Desktophintergrunds und Überlagern von der Mitte des Bildschirms mit den wichtigsten Lösegeld verlangen und klickbare Schnittstelle.

Dieser Bildschirm informiert dem Opfer, dass “Ihre persönlichen Dateien von CTB-Locker verschlüsselt werden”, sie werden gesagt, dass sie “96 Stunden Bezahlung vorzulegen”, und sie gewarnt werden, dass jeder Versuch, die Malware von infizierten System entfernen führt des Entschlüsselungsschlüssels zerstört wird – diese Grenze in früheren Versionen lag. Das Opfer klicken Sie auf die Schaltfläche “Weiter”, um die Entschlüsselung zu starten oder die Schaltfläche “Ansicht” zu sehen, die Liste der verschlüsselten Dateien.

CTB Locker 1CTB-Locker ist hochgradig mehrsprachig mit dem Lösegeld-Vermerk in einer Vielzahl von Sprachen, über die verschiedenen Flaggen-Icons am oberen Bildschirmrand angeboten. Die Wahl der Sprachen scheint zumindest teilweise vom Affiliate anpassbar sein, die dieser bestimmten CTB-Locker-Instanz erworben hat, und die verfügbaren Optionen sind im Laufe der Zeit gewachsen. Eine aktuelle Probe hatte die folgenden Sprachoptionen – Englisch, Französisch, Deutsch, Spanisch, Lettisch, Niederländisch und Italienisch.

CTB Locker 2Lettisch ist eine ungewöhnliche Sprachoption, da Lettland nicht im Allgemeinen als ein zentrales Ziel für Ransomware und andere Arten von Crimeware gesehen wird. Dies stellt möglicherweise die Autoren suchen, um in neue Märkte, wo Bewusstsein ist niedriger, oder vielleicht die bestimmte Affiliate hat Ortskenntnis und ist besser, in der Lage, eine erfolgreiche Kampagne in diesem Land starten zu brechen.

CTB Locker LAtvianJüngste Varianten der CTB-Locker bieten auch eine Möglichkeit für das Opfer zu überprüfen, ob ihre Dateien entschlüsselt werden können, durch unscrambling fünf zufällig ausgewählte Dateien kostenlos. Dies scheint eingeführt worden sind, als eine Möglichkeit, das Vertrauen des Opfers zu gewinnen und erhöhen die Wahrscheinlichkeit, die das volle Lösegeld bezahlt wird.

Lösegeld-Zahlung

Klickt das Opfer über die Lösegeld-Schnittstelle erhalten sie detaillierte Anweisungen auf wie viel zu zahlen und wie Sie es bezahlen.

Ransom PaymentCTB-Locker erfordert Bitcoins (BTC), das Lösegeld (in Kurve-Tor-Bitcoin-Locker “Bitcoin”) zu zahlen. Der genaue Betrag der BTC wird der Affiliate CTB-Locker, gekauft hat, obwohl die Autoren Orientierungshilfe eine zu helfen, die Lösegeld-Menge auf einem Niveau, das maximale Einnahmen generieren dürfte festgelegt. Obige Abbildung 12 zeigt ein Beispiel für anspruchsvolle 3 BTC. Einen ungefähren Gegenwert in Landeswährung wird auch angezeigt – z.B. 690 Dollar oder 660 Euro.

Ein Nachteil bei der Verwendung von Tor versteckt Dienstleistungen ist es Zuverlässigkeit kann ein Problem, was bedeutet, dass der Führungs- und Server nicht erreichbar ist, wenn das Opfer versucht, das Lösegeld zu bezahlen.

CTB PaymentIn einem Versuch, dieses zu bekämpfen, CTB-Locker versucht, mehrere verschiedene Tor-Proxy-Server zu verwenden, zum Erreichen des versteckten Dienstes und bietet auch Bedienungsanleitung sollte die Malware-Probe aus dem infizierten Rechner entfernt werden. Diese umfassen besuchen den Tor versteckt-Dienst über einen Webbrowser und den öffentlichen Schlüssel, den das Opfer gegeben wird in ein Formular einfügen.

CTB-Locker Virus Zuverlässigkeit

Lesung durch verschiedene öffentliche Unterstützung Forumpostings legt nahe, dass in vielen Fällen zahlt das Lösegeld CTB-Locker Entschlüsseln von Dateien des Opfers führt. Die Funktion “Test Entschlüsselung” ist ein guter Indikator, dass die Entschlüsselung ist möglich.

Allerdings muss das Opfer noch Vertrauen die Cyberkriminellen ihr Versprechen wieder gutzumachen werden nach Übergabe des Lösegeld-Betrags in BTC. Es gibt auch die Möglichkeit, die die Server-Komponenten, die die privaten Schlüssel zum Entschlüsseln verwendet Bedarf hosten, nach unten getroffen werden, vorübergehend oder dauerhaft, die Entschlüsselung unmöglich machen. In diesem Fall ist es wahrscheinlich, dass die Cyberkriminellen Lösegeld Zahlungen trotz wissen akzeptieren weiterhin besteht keine Möglichkeit des Opfers Dateien entschlüsseln.

Statistiken

CTB-Locker-Infektionen sind vor allem in Westeuropa, Nordamerika und Australien gesehen. Generell sind die Tier-1-Länder in den oben genannten Reddit-Beitrag beschrieben. Opfer in diesen Ländern erscheinen ausgerichtet werden, basierend auf früheren Erfahrungen mit erfolgreichen Zahlungen des Autors Ransomware.

CTB Locker by countryBei der Betrachtung der Anzahl von Proben können wir sehen, dass die Zahl der tatsächlichen CTB-Locker-Proben viel niedriger als die Anzahl der Dalexis Beispiele, mit denen CTB-Locker herunterladen. Dies macht Sinn, da die Downloader heraus in extrem großen Mengen Spam ist dem Sicherheitsprodukte Erkennung sehr schnell hinzufügen können. Jede Probe einzigartig, indem Sie einen kleinen Betrag in jede Datei ändern, erhöht die Wahrscheinlichkeit, die einige Prüfsumme-basierten Schutz-Lösungen zu allen Beispielen erkennen fehl.

CTB Locker vs Delexis Sample Schutz

Sophos schützt gegen CTB-Locker bei Ausführung mit HPmal/Lösegeld-N und statisch ein Array von Namen der Erkennung einschließlich: Troj/Lösegeld-AKW, Troj/Zwiebel-D, Troj/Filecode-B, Troj/HkMain-CT.

Sophos erkennt die Dalexis/Elenoocka-Downloader mit einem Array Detektion Namen einschließlich: Troj/Agent-AMTG, Troj/Agent-AMKP, Troj/Cabby-H, Troj/Agent-AIRO, Troj/Agent-AMNK, Troj/Agent-AMNP, Troj/Agent-AMOA, Mal/Cabby-B.

Diese Hüften-Signaturen erfordern nicht oft Updates, wie sie erkennen auf dem entpackten Speichercode unabhängig von Dateien auf der Festplatte, die entweder verpackt, verschleiert oder verschlüsselt sind.

Mit Sophos HIPS wird-Technologie aktiviert dringend empfohlen, zu Ransomware präventiv zu blockieren.

Wenn Sie, dass Sie durch Ransomware gefährdet haben vermuten, können Sie die Malware mit Hilfe unserer Virus Removal Tool entfernen. Leider gibt es nicht viel, was Sie tun können, um Ihre Dateien zurück, außer an das Lösegeld zu zahlen – die Verschlüsselung ist zu stark zu knacken.

Abgesehen davon, daß Ihr Antivirus aktuell, gibt es zusätzliche Systemänderungen zu verhindern oder entwaffnen Ransomware-Infektionen, die ein Benutzer anwenden können.

1. Sichern Sie Ihre Dateien.

Der beste Weg um sicherzustellen, dass Sie Ihre Dateien nicht an Ransomware verlieren soll sie regelmäßig sichern. Speichern Ihre Sicherung separat ist auch die – wie besprochen, einige Ransomware-Varianten löschen Windows Schattenkopien von Dateien als eine weitere Taktik, um Ihre Genesung zu verhindern, so Sie Ihre offline-Sicherung gespeichert müssen.

2. regelmäßig Anwenden von Windows und anderer Software-Updates.

Ihr System und Anwendungen aktuell zu halten. Dies gibt Ihnen die beste Chancen, Ihr System zu vermeiden ausgenutzt mit Drive-by-download Angriffe und Software (insbesondere Adobe Flash, Microsoft Silverlight, Web-Browser, etc.)-Schwachstellen, die für die Installation von Ransomware bekannt sind.

3. nicht vertrauenswürdige e-Mail-Links klicken oder unerwünschte e-Mail-Anhänge öffnen zu vermeiden.

Die meisten Ransomware kommt über Spam-Mails, entweder durch Klicken auf die Links oder als Anlagen. Haben einen gute e-Mail-Virenscanner würde auch proaktiv kompromittierten oder böswillige Website Links oder binäre Anlagen blockiert, die zu Ransomware führen.

4. ActiveX-Steuerelemente deaktivieren Inhalte in Microsoft Office-Anwendungen wie Word, Excel usw.

Wir haben gesehen, viele bösartige Dokumente, die Makros enthalten, die weiteren Ransomware unauffällig im Hintergrund herunterladen können.

5. Installieren Sie eine Firewall, Tor und I2P blockieren und auf bestimmte Ports beschränken.

Verhindert, dass die Malware seine Anruf-Startseite-Server über das Netzwerk erreichen kann eine aktive Ransomware-Variante entwaffnen. Als solche ist Verbindungen mit I2P oder Tor-Server über eine Firewall blockiert eine wirksame Maßnahme.

6. deaktivieren Remotedesktopverbindungen.

Deaktivieren Sie Remotedesktopverbindungen Wenn sie in Ihrer Umgebung nicht erforderlich sind, so dass böswillige Autoren Ihre Maschine aus der Ferne zugreifen können.

7. blockieren Binärdateien unter %APPDATA% und % TEMP % Pfade.

Die meisten Ransomware Dateien gelöscht und von den folgenden Speicherorten ausgeführt, damit Ausführung blockiert die Ransomware Ausführung verhindern würde.

Hinterlasse eine Antwort